Convertir les services spécifiques à Microsoft Identity Manager pour utiliser des comptes de service gérés de groupe

Cet article est un guide de configuration des services Microsoft Identity Manager pris en charge pour utiliser des comptes de service gérés de groupe (gMSA). Une fois que vous avez préconfiguré votre environnement, le processus de conversion en gMSA est simple.

Prérequis

  • Téléchargez et installez le correctif logiciel requis suivant : Microsoft Identity Manager 4.5.26.0 ou version ultérieure.

    Services pris en charge :

    • Service de synchronisation Microsoft Identity Manager (FIMSynchronizationService)
    • Service Microsoft Identity Manager (FIMService)
    • Inscription du mot de passe Microsoft Identity Manager
    • Réinitialisation de mot de passe Microsoft Identity Manager
    • Service de surveillance Privileged Access Management (PAM) (PamMonitoringService)
    • Service de composants PAM (PrivilegeManagementComponentService)

    Services non pris en charge :

    • le portail Microsoft Identity Manager n’est pas pris en charge. Il fait partie de l’environnement SharePoint et il vous faudrait le déployer en mode batterie de serveurs ainsi que Configurer une modification automatique du mot de passe dans SharePoint Server.
    • Tous les agents de gestion, à l’exception de l’agent de gestion Microsoft Identity Manager Service
    • Gestion des certificats Microsoft
    • BHOLD
  • Pour obtenir des informations de référence d’arrière-plan et générales sur la configuration de votre environnement, consultez :

  • Avant de commencer, créez la clé racine des services de distribution de clés sur votre contrôleur de domaine Windows. Tenez compte des informations suivantes :

    • Les clés racines sont utilisées par le service de distribution de clés (KDS) pour générer des mots de passe et d’autres informations sur les contrôleurs de domaine.
    • Créez une clé racine une seule fois par domaine, si nécessaire.
    • Incluez Add-KDSRootKey –EffectiveImmediately. « – EffectiveImmediately » signifie que la réplication de la clé racine sur tous les contrôleurs de domaine peut prendre jusqu’à 10 heures. La réplication sur deux contrôleurs de domaine peut prendre environ 1 heure. Chaîne « –EffectiveImmediately »

Actions à exécuter sur chaque contrôleur de domaine Active Directory

  1. Créez un groupe nommé MIMSync_Servers et ajoutez tous les serveurs de synchronisation.

    Créer un groupe MIMSync_Servers

  2. Connectez-vous à Windows PowerShell en tant qu’administrateur de domaine avec un compte déjà joint au domaine, puis exécutez la commande suivante :

    New-ADServiceAccount -Name MIMSyncGMSAsvc -DNSHostName MIMSyncGMSAsvc.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "MIMSync_Servers"

    La commande dans PowerShell

    • Afficher les détails du compte gMSA pour la synchronisation :
      Détails du compte gMSA pour la synchronisation

    • Si vous exécutez le service de notification de modification de mot de passe (PCNS), mettez à jour la délégation en exécutant la commande suivante :

      Set-ADServiceAccount -Identity MIMSyncGMSAsvc -ServicePrincipalNames @{Add="PCNSCLNT/mimsync.contoso.com"}

Actions à exécuter sur le serveur de synchronisation Microsoft Identity Manager

  1. Dans Synchronization Service Manager, sauvegardez la clé de chiffrement. Elle sera demandée lors de l’installation du mode de modification. Procédez comme suit :

    a. Sur le serveur où Synchronization Service Manager est installé, recherchez l’outil de gestion des clés du service de synchronisation. Le jeu de clés Exporter est déjà sélectionné par défaut.

    b. Sélectionnez Suivant.

    c. À l’invite, entrez et vérifiez les informations du compte de service de synchronisation Microsoft Identity Manager ou Forefront Identity Manager (FIM) :

    • Nom du compte : nom du compte du service de synchronisation utilisé lors de l’installation initiale.
    • Mot de passe : mot de passe du compte du service de synchronisation.
    • Domaine : domaine dont le compte du service de synchronisation fait partie.

    d. Sélectionnez Suivant.

    Si vous avez réussi à entrer les informations sur le compte, une option vous permet de modifier la destination ou d’exporter l’emplacement du fichier de la clé de chiffrement de sauvegarde. Par défaut, l’emplacement du fichier d’exportation est C :\Windows\system32\miiskeys-1.bin.

  2. Installez Microsoft Identity Manager correctif logiciel 2016 SP1 ou ultérieur, que vous pouvez trouver dans le Centre de gestion des licences en volume ou le site téléchargements MSDN. Une fois l’installation terminée, enregistrez le jeu de clés miiskeys.bin.

    Fenêtre de progression de l’installation du service de synchronisation Microsoft Identity Manager

  3. Installez le correctif logiciel 4.5.2.6.0 ou version ultérieure.

  4. Une fois le correctif installé, arrêtez le service de synchronisation FIM en procédant comme suit :

    a. Dans le panneau de configuration, sélectionnez Programmes et fonctionnalités>Microsoft Identity Manager.
    b. Dans la page Service de synchronisation, sélectionnez Modifier>Suivant.
    c. Dans la fenêtre Options de maintenance, sélectionnez Configurer.

    Fenêtre Options de maintenance

    d. Dans la fenêtre Configurer le service de synchronisation Microsoft Identity Manager, désactivez la valeur par défaut dans la zone Compte de service, puis entrez MIMSyncGMSA$ . Veillez à inclure le symbole du dollar ($), comme le montre l’illustration suivante. Laissez la zone Mot de passe vide.

    Fenêtre Configurer le service de synchronisation Microsoft Identity Manager

    e. Sélectionnez Suivant>Suivant>Installer.
    f. Restaurez le jeu de clés à partir du fichier miiskeys.bin enregistré précédemment.

    Option permettant de restaurer la configuration du jeu de clés

    Liste des agents de gestion dans Synchronization Service Manager

Service Microsoft Identity Manager

Important

Suivez attentivement les instructions de cette section quand vous convertissez des comptes Microsoft Identity Manager liés à des services en comptes gMSA.

  1. Créez des comptes gérés de groupe pour le service Microsoft Identity Manager, l’API Rest PAM, le service de surveillance PAM, le service de composants PAM, le portail d’inscription de réinitialisation de mot de passe en libre-service (SSPR) et le portail de réinitialisation SSPR.

    • Mettez à jour la délégation gMSA et le nom de principal du service (SPN) :

      • Set-ADServiceAccount -Identity \<account\> -ServicePrincipalNames @{Add="\<SPN\>"}
    • Délégation :

      • Set-ADServiceAccount -Identity \<gmsaaccount\> -TrustedForDelegation $true
    • Délégation contrainte :

      • $delspns = 'http/mim', 'http/mim.contoso.com'
      • New-ADServiceAccount -Name \<gmsaaccount\> -DNSHostName \<gmsaaccount\>.contoso.com -PrincipalsAllowedToRetrieveManagedPassword \<group\> -ServicePrincipalNames $spns -OtherAttributes @{'msDS-AllowedToDelegateTo'=$delspns }
  2. ajoutez un compte pour le service Microsoft Identity Manager dans les groupes de synchronisation. Cette étape est nécessaire pour la réinitialisation de mot de passe en libre-service (SSPR).

    Fenêtre Utilisateurs et ordinateurs Active Directory

    Notes

    Un problème connu sur Windows Server 2012 R2 est que les services qui utilisent un compte géré cessent de répondre après le redémarrage du serveur, car le service de distribution de clés Microsoft n’est pas démarré après le redémarrage de Windows. Pour contourner ce problème, exécutez la commande suivante :

    sc triggerinfo kdssvc start/networkon

    La commande démarre le service de distribution de clés de Microsoft lorsque le réseau est activé (généralement au début du cycle de démarrage).

    Pour lire une discussion sur un problème similaire, consultez AD FS Windows 2012 R2 : adfssrv se bloque en mode de démarrage.

  3. Exécutez MSI avec des privilèges élevés du service Microsoft Identity Manager, puis sélectionnez Modifier.

  4. Dans la fenêtre Configurer la connexion au serveur de messagerie, activez la case à cocher Utiliser un autre utilisateur pour Exchange (pour les comptes gérés) . Vous avez la possibilité d’utiliser le compte Exchange actuel ou la boîte aux lettres cloud.

    Notes

    Si vous sélectionnez l’option Utiliser Exchange Online, pour permettre au service Microsoft Identity Manager de traiter les réponses d’approbation provenant du module complémentaire Outlook Microsoft Identity Manager, définissez la valeur de clé de Registre HKLM\SYSTEM\CurrentControlSet\Services\FIMService de PollExchangeEnabled sur 1 après l’installation.

    Fenêtre « Configurer la connexion au serveur de messagerie »

  5. Dans la fenêtre Configurer le compte de service MIM, dans la zone Nom du compte de service, entrez le nom. Veillez à inclure le symbole du dollar ($). Entrez également un mot de passe dans la zone Mot de passe du compte de messagerie de service. La zone Mot de passe du compte de service ne devrait pas être disponible.

    Fenêtre « Configurer le compte de service MIM »

    Comme la fonction LogonUser ne fonctionne pas pour les comptes gérés, à la page suivante, l’avertissement « Veuillez vérifier si le compte de Service est sécurisé dans sa configuration actuelle » s’affiche.

    Fenêtre Avertissement de sécurité du compte

  6. Dans la fenêtre Configurer l’API REST Privileged Access Management, dans la zone Nom du compte du pool d'applications, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe du compte du pool d'applications vide.

    Fenêtre Configurer l’API REST Privileged Access Management

  7. Dans la fenêtre Configurer le composant de service PAM, dans la zone Nom du compte de service, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe du compte de service vide.

    Fenêtre Configurer le service de composant PAM

    Fenêtre Avertissement de sécurité du compte

  8. Dans la fenêtre Configurer le service de surveillance de Privileged Access Management, dans la zone Nom du compte de service, tapez le nom du compte de service. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe du compte de service vide.

    Fenêtre Configurer le service de surveillance Privileged Access Management

  9. Dans la fenêtre Configurer le portail d’inscription du mot de passe MIM, dans la zone Nom du compte, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe vide.

    Fenêtre Configurer le portail d’inscription du mot de passe MIM

  10. Dans la fenêtre Configurer le portail de réinitialisation de mot de passe MIM, dans la zone Nom du compte, entrez le nom du compte. Veillez à inclure le symbole du dollar ($). Laissez la zone Mot de passe vide.

    Fenêtre Configurer le portail de réinitialisation de mot de passe MIM

  11. Terminez l'installation.

    Notes

    Pendant l’installation, deux nouvelles clés sont créées dans le chemin de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Forefront Identity Manager\2010\Service pour le stockage du mot de passe Exchange chiffré. Une entrée est destinée à ExchangeOnline et l’autre à ExchangeOnPremise. Pour l’une des entrées, la valeur dans la colonne Données doit être vide.

    Éditeur du Registre

Pour mettre à jour le mot de passe de vos comptes stockés sans avoir à exécuter le mode de modification, téléchargez ce script PowerShell.

Pour chiffrer le mot de passe Exchange, le programme d’installation crée un service supplémentaire qu’il exécute sous le compte géré. Les messages suivants sont ajoutés dans le journal des événements de l’application au cours de l’installation :

Fenêtre Observateur d’événements